상황
회사 PC에서 9월 이후부터 갑자기 서버에 로그인이 불가능하거나, 원격 데스크톱 접근이 불가한 현상이 발생함.
대상 OS
Windows 11 24H2, 25H2
Windwos Server 2025
원인
KB5065426 업데이트를 적용하면 SID가 중복되는 머신이 동일한 네트워크 상에서 인증 (Kerberos) 을 시도하면 로그온에 실패하도록 보안이 강화 된 것이 원인임.
그럼 SID란 무엇이고 왜 중복이 발생하는가?
SID는 Windows 의 주민등록번호 라 볼 수 있는데, OS를 설치할 때 PC마다 고유한 값이 생성됨.
그런데 회사PC의 경우, PC 납품 업체에서 일일이 OS를 설치하는 대신 OS가 설치된 디스크를 복제하는 형태로 OS를 설치해서 납품하는 경우가 많으며, 이렇게 OS가 설치된 PC는 모두 주민등록번호가 동일한 상황이 되어 버림.
이 방식은 잠재적 문제를 일으킬 수 있지만 빠르게 OS를 설치할 수 있고, 지금까지는 SID가 중복되더라도 문제되는 부분이 없었기 때문에 암묵적으로 허용이 되어 왔음.
(PC 메이커들의 완제품 PC의 경우는 Sysprep 도구로 OS를 배포하는 형태로 설치되므로 SID 가 중복되지 않음.)
조치
이 문제가 커지자 MS는 예외적으로 KB5065426 에 포함된 기능을 롤백하는 롤백 업데이트를 추가로 배포함.
KIR 은 문제를 일으킨 업데이트에 포함되어 있는 보안 패치는 그대로 유지하면서 문제 기능만 끌 수 있기 때문에
업데이트를 다시 언인스톨 하는 것보다 훨씬 권장되는 방식이다.
원격 데스크톱 접속이 되지 않는 PC/Server 에 위 업데이트를 설치 후, gpedit.msc > 관리 템플릿에 가보면
못보던 항목이 하나 생겨 있음을 알 수 있다.
사용 안 함을 선택하면 SID 중복 머신들이 동일한 네트워크에 존재하더라도 OS 로그온이 정상적으로 가능해진다.
다만 이 방법은 임시적인 조치이고, 결국 SID 가 동일한 머신들의 SID 가 중복되지 않도록 하는 조치가 필요하다.
참고
